Verwalten des schrittweisen Rolloutprozesses für Microsoft Defender Updates
Gilt für:
- Microsoft Defender für Endpunkt Plan 1
- Microsoft Defender für Endpunkt Plan 2
- Microsoft Defender Antivirus
Plattformen
- Windows
Es ist wichtig sicherzustellen, dass Clientkomponenten auf dem neuesten Stand sind, um wichtige Schutzfunktionen bereitzustellen und Angriffe zu verhindern.
Funktionen werden über mehrere Komponenten bereitgestellt:
- Endpunkterkennung & Antwort
- Schutz der nächsten Generation mit cloudbasiertem Schutz
- Verringerung der Angriffsfläche
Updates werden monatlich mithilfe eines schrittweisen Freigabeprozesses veröffentlicht. Dieser Prozess ermöglicht die frühzeitige Fehlererkennung, um Auftretende Probleme zu identifizieren und vor einem größeren Rollout schnell zu beheben.
Hinweis
Weitere Informationen zum Steuern von täglichen Security Intelligence-Updates finden Sie unter Planen Microsoft Defender Antivirenschutzupdates. Updates sicherstellen, dass der Schutz der nächsten Generation vor neuen Bedrohungen geschützt werden kann, auch wenn der In die Cloud bereitgestellte Schutz für den Endpunkt nicht verfügbar ist.
Microsoft-Modell für schrittweises Rollout
Das folgende schrittweise Rolloutmodell wird für monatliche Defender-Updates befolgt:
Die erste Version wird für Betakanalabonnenten veröffentlicht.
Nach der Überprüfung, dem Feedback und den Korrekturen starten wir den schrittweisen Rolloutprozess gedrosselt und zuerst an Abonnenten des Vorschaukanals.
Anschließend wird das Update für den Rest der globalen Bevölkerung freigegeben und von 10 bis 100 % aufskalieren.
Unsere Techniker überwachen die Auswirkungen kontinuierlich und eskalieren alle Probleme, um bei Bedarf eine Lösung zu erstellen.
Anpassen des internen Bereitstellungsprozesses
Wenn Ihre Computer Defender-Updates von Windows Update erhalten, kann der schrittweise Rolloutprozess dazu führen, dass einige Ihrer Geräte Defender-Updates früher erhalten als andere. Im folgenden Abschnitt wird erläutert, wie Sie eine Strategie definieren, mit der automatische Updates mithilfe der Updatekanalkonfiguration unterschiedlich auf bestimmte Gerätegruppen übertragen werden können.
Hinweis
Wenn Sie eine eigene schrittweise Veröffentlichung planen, stellen Sie sicher, dass Sie immer eine Auswahl von Geräten haben, die die Vorschau- und gestaffelten Kanäle abonniert haben. Dies bietet Ihren organization sowie Microsoft die Möglichkeit, spezifische Probleme für Ihre Umgebung zu verhindern oder zu finden und zu beheben.
Für Computer, die Updates z. B. über Windows Server Update Services (WSUS) oder Microsoft Configuration Manager erhalten, stehen allen Windows-Updates weitere Optionen zur Verfügung, einschließlich Optionen für Microsoft Defender for Endpoint.
- Weitere Informationen zur Verwendung von Lösungen wie WSUS und MECM zum Verwalten der Verteilung und Anwendung von Updates finden Sie unter Verwalten Microsoft Defender Antivirusupdates und Anwenden von Baselines – Windows-Sicherheit.
Updatekanäle für monatliche Updates
Sie können einen Computer einem Updatekanal zuweisen, um den Rhythmus zu definieren, in dem ein Computer monatliche Engine- und Plattformupdates empfängt.
Weitere Informationen zum Konfigurieren von Updates finden Sie unter Erstellen eines benutzerdefinierten schrittweisen Rolloutprozesses für Microsoft Defender Updates.
Die folgenden Updatekanäle sind verfügbar:
Kanalname | Beschreibung | App |
---|---|---|
Betakanal – Vorabversion | Testen von Updates vor anderen | Geräte, die auf diesen Kanal festgelegt sind, sind die ersten, die neue monatliche Updates erhalten. Wählen Sie Betakanal aus, um an der Identifizierung und Meldung von Problemen an Microsoft teilzunehmen. Geräte im Windows-Insider-Programm werden standardmäßig für diesen Kanal abonniert. Nur für die Verwendung in Testumgebungen. |
Aktueller Kanal (Vorschau) | Abrufen von Updates für den aktuellen Kanal früher während der schrittweisen Veröffentlichung | Geräte, die auf diesen Kanal festgelegt sind, werden frühestens während des schrittweisen Releasezyklus Updates angeboten. Wird für Präproduktions-/Validierungsumgebungen empfohlen. |
Aktueller Kanal (bereitgestellt) | Abrufen von Updates für den aktuellen Kanal zu einem späteren Zeitpunkt während der schrittweisen Veröffentlichung | Geräte werden später während des schrittweisen Releasezyklus Updates angeboten. Es wird empfohlen, sich auf einen kleinen, repräsentativen Teil Ihrer Gerätepopulation (~10 %) zu bewerben. |
Aktueller Kanal (breit) | Abrufen von Updates am Ende der schrittweisen Veröffentlichung | Geräteupdates werden erst nach Abschluss des schrittweisen Releasezyklus angeboten. Es wird empfohlen, auf eine breite Gruppe von Geräten in Ihrer Produktionspopulation (ca. 10-100 %) anzuwenden. |
Kritisch: Zeitverzögerung | Defender-Updates verzögern | Geräte werden Updates mit einer Verzögerung von 48 Stunden angeboten. Am besten geeignet für Rechenzentrumscomputer, die nur begrenzte Updates erhalten. Wird nur für kritische Umgebungen empfohlen. |
(Standard) | Wenn Sie diese Richtlinie deaktivieren oder nicht konfigurieren, verbleibt das Gerät im aktuellen Kanal (Standard): Bleiben Sie während des schrittweisen Releasezyklus automatisch auf dem neuesten Stand. Dies bedeutet, dass Microsoft dem Gerät einen Kanal zuweist. Der von Microsoft ausgewählte Kanal kann einer sein, der Updates frühzeitig während des schrittweisen Releasezyklus empfängt, der nicht für Geräte in einer Produktionsumgebung oder kritischen Umgebung geeignet ist. |
Updatekanäle für Security Intelligence-Updates
Sie können einen Computer auch einem Kanal zuweisen, um die Häufigkeit zu definieren, in der er SIUs empfängt (früher als Signatur, Definition oder tägliche Updates bezeichnet). Im Gegensatz zum monatlichen Prozess gibt es keinen Beta-Kanal, und dieser allmähliche Releasezyklus erfolgt mehrmals täglich.
Kanalname | Beschreibung | App |
---|---|---|
Aktueller Kanal (bereitgestellt) | Identisch mit dem aktuellen Kanal (Breit) | Identisch mit Dem aktuellen Kanal (Breit). |
Aktueller Kanal (breit) | Abrufen von Updates am Ende der schrittweisen Veröffentlichung | Geräte werden nach dem schrittweisen Releasezyklus Updates angeboten. Es wird empfohlen, auf eine breite Gruppe von Geräten in allen Populationen, einschließlich der Produktion, anzuwenden. Hinweis: Diese Einstellung gilt für alle Defender-Updates. |
(Standard) | Wenn Sie diese Richtlinie deaktivieren oder nicht konfigurieren, weist Microsoft das Gerät entweder dem aktuellen Kanal (Breit) oder einem Betakanal zu einem frühen Zeitpunkt des schrittweisen Veröffentlichungszyklus zu. Der von Microsoft ausgewählte Kanal kann einer sein, der Updates frühzeitig während des schrittweisen Releasezyklus empfängt, der möglicherweise nicht für Geräte in einer Produktionsumgebung oder kritischen Umgebung geeignet ist. |
Hinweis
Wenn Sie ein Update auf die neueste Signatur erzwingen möchten, anstatt die Zeitverzögerung zu nutzen, müssen Sie diese Richtlinie zuerst entfernen.
Anleitung zum Aktualisieren
In den meisten Fällen wird empfohlen, wenn sie Windows Update verwenden, endpunkten zu ermöglichen, monatliche Defender-Updates zu empfangen und anzuwenden, sobald sie eintreffen. Diese Option bietet das beste Gleichgewicht zwischen Schutz und möglichen Auswirkungen im Zusammenhang mit den Änderungen, die sie einführen können.
Für Umgebungen, in denen ein kontrollierterer schrittweiser Rollout automatischer Defender-Updates erforderlich ist, sollten Sie einen Ansatz mit Bereitstellungsgruppen in Betracht ziehen:
Nehmen Sie am Windows-Insider-Programm teil, oder weisen Sie dem Betakanal eine Gruppe von Geräten zu.
Legen Sie eine Pilotgruppe fest, die sich für den Vorschaukanal (in der Regel Validierungsumgebungen) entscheidet, um frühzeitig neue Updates zu erhalten.
Legen Sie eine Gruppe von Computern fest, die später während des schrittweisen Rollouts über den gestaffelten Kanal Updates erhalten. In der Regel wäre diese Gruppe ein repräsentativer Anteil von ca. 10 % der Bevölkerung.
Legen Sie eine Gruppe von Computern fest, die Nach Abschluss des schrittweisen Releasezyklus Updates erhalten. Dabei handelt es sich in der Regel um wichtige Produktionssysteme.
Für die restlichen Geräte ist die Standardeinstellung, dass neue Updates empfangen werden, sobald diese während des schrittweisen Microsoft-Rolloutprozesses eintreffen, und es ist keine weitere Konfiguration erforderlich.
Einführung dieses Modells:
- Ermöglicht es Ihnen, frühe Releases zu testen, bevor sie eine Produktionsumgebung erreichen.
- Stellen Sie sicher, dass die Produktionsumgebung weiterhin regelmäßige Updates erhält, und stellen Sie den Schutz vor kritischen Bedrohungen sicher.
Verwaltungstools
Um einen eigenen benutzerdefinierten schrittweisen Rolloutprozess für monatliche Updates zu erstellen, können Sie die folgenden Tools verwenden:
- Gruppenrichtlinie
- Microsoft Intune
- PowerShell
Ausführliche Informationen zur Verwendung dieser Tools finden Sie unter Erstellen eines benutzerdefinierten schrittweisen Rolloutprozesses für Microsoft Defender Updates.
Tipp
Wenn Sie nach Informationen zu Antivirensoftware für andere Plattformen suchen, lesen Sie:
- Festlegen von Einstellungen für Microsoft Defender für Endpunkt unter macOS
- Microsoft Defender für Endpunkt für Mac
- macOS Antivirus-Richtlinieneinstellungen für Microsoft Defender Antivirus für Intune
- Festlegen von Einstellungen für Microsoft Defender für Endpunkt unter Linux
- Microsoft Defender für Endpunkt unter Linux
- Konfigurieren von Defender für Endpunkt unter Android-Features
- Konfigurieren von Microsoft Defender für Endpunkt unter iOS-Features
Tipp
Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.